Chính sách bảo mật • Tổng quan – What is a confidentiality model • Mơ hình Bell-LaPadula – General idea – Informal description of rules Slide #5-1 Chính sách bảo mật • Mục tiêu: Ngăn chặn việc tiết lộ thơng tin cách trái phép – Deals with information flow – Integrity incidental • Các mơ hình an ninh đa cấp ví dụ điển hình – Bell-LaPadula Model basis for many, or most, of these Slide #5-2 Bell-LaPadula Model, Step • Các cấp độ an ninh xếp tuyến tính – – – – Top Secret: highest Secret Confidential Unclassified: lowest • Levels consist of security clearance L(s) – Objects have security classification L(o) Slide #5-3 Example security level subject object Top Secret Tamara Personnel Files Secret Samuel E-Mail Files Confidential Claire Activity Logs Unclassified Ulaley Telephone Lists • Tamara can read all files • Claire cannot read Personnel or E-Mail Files • Ulaley can only read Telephone Lists Slide #5-4 Đọc thơng tin • Information flows down, not up – “Reads up” disallowed, “reads down” allowed • Simple Security Condition (Step 1) – Subject s can read object o iff L(o) ≤ L(s) and s has permission to read o • Note: combines mandatory control (relationship of security levels) and discretionary control (the required permission) – Sometimes called “no reads up” rule Slide #5-5 Ghi thông tin • Information flows up, not down – “Writes up” allowed, “writes down” disallowed • *-Property (Step 1) – Subject s can write object o iff L(s) ≤ L(o) and s has permission to write o • Note: combines mandatory control (relationship of security levels) and discretionary control (the required permission) – Sometimes called “no writes down” rule Slide #5-6 Định lý an ninh bản, bước • Nếu hệ thống khởi tạo trạng thái an toàn, lần chuyển trạng thái thỏa mã điều kiện anh ninh đơn giản (simple securiy condition, step 1) thuộc tính * ( property, step 1) trạng thái hệ thống an toàn – Proof: induct on the number of transitions Slide #5-7 Bell-LaPadula Model, Step • Mở rộng cấp độ an ninh: Bao gồm phân loại • Security level is (clearance, category set) • Examples – ( Top Secret, { NUC, EUR, ASI } ) – ( Confidential, { EUR, ASI } ) – ( Secret, { NUC, ASI } ) Slide #5-8 Cấp độ Lưới • (A, C) dom (A, C) iff A ≤ A and C  C • Examples – (Top Secret, {NUC, ASI}) dom (Secret, {NUC}) – (Secret, {NUC, EUR}) dom (Confidential,{NUC, EUR}) – (Top Secret, {NUC}) dom (Confidential, {EUR}) • Let C be set of classifications, K set of categories Set of security levels L = C  K, dom form lattice – lub(L) = (max(A), C) – glb(L) = (min(A), ) Slide #5-9 Cấp độ thứ tự • Cấp độ an ninh xếp thứ tự phần – Any pair of security levels may (or may not) be related by dom • “dominates” – bao hàm có ý nghĩa tương tự “lớn hơn” step – “greater than” is a total ordering, though Slide #5-10 Đọc thơng tin • Information flows up, not down – “Reads up” disallowed, “reads down” allowed • Simple Security Condition (Step 2) – Subject s can read object o iff L(s) dom L(o) and s has permission to read o • Note: combines mandatory control (relationship of security levels) and discretionary control (the required permission) – Sometimes called “no reads up” rule Slide #5-11 Ghi thông tin • Information flows up, not down – “Writes up” allowed, “writes down” disallowed • *-Property (Step 2) – Subject s can write object o iff L(o) dom L(s) and s has permission to write o • Note: combines mandatory control (relationship of security levels) and discretionary control (the required permission) – Sometimes called “no writes down” rule Slide #5-12 Basic Security Theorem, Step • If a system is initially in a secure state, and every transition of the system satisfies the simple security condition, step 2, and the *-property, step 2, then every state of the system is secure – Proof: induct on the number of transitions – In actual Basic Security Theorem, discretionary access control treated as third property, and simple security property and *-property phrased to eliminate discretionary part of the definitions — but simpler to express the way done here Slide #5-13 Vấn đề • Đại tá có cấp độ an ninh (Secret, {NUC, EUR}) • Thiếu ta có cấp độ an ninh (Secret, {EUR}) – Thiếu tá trao đổi thơng tin cho Đại tá (“write up” or “read down”) – Đại tá trao đổi thông tin cho thiếu tá (“read up” or “write down”) • Có bất hợp lý! Slide #5-14 Giải pháp • Định nghĩa cấp độ an ninh cao nhất/hiện – maxlevel(s) dom curlevel(s) • Ví dụ – Xem thiếu tá object (Đại tá cần truyền thông tin cho anh ta) – Đại ta có maxlevel (Secret, { NUC, EUR }) – Đại tá thiết lập curlevel to (Secret, { EUR }) – Khi L(Major) dom curlevel(Colonel) • Đại tá truyền thông tin cho thiếu tá mà không vi phạm luật “no writes down” Slide #5-15 Key Points • Confidentiality models restrict flow of information • Bell-LaPadula models multilevel security – Cornerstone of much work in computer security Slide #5-16 .. .Chính sách bảo mật • Mục tiêu: Ngăn chặn việc tiết lộ thông tin cách trái phép – Deals with information flow – Integrity incidental • Các mơ hình an ninh đa cấp ví dụ điển... khởi tạo trạng thái an toàn, lần chuyển trạng thái thỏa mã điều kiện anh ninh đơn giản (simple securiy condition, step 1) thuộc tính * ( property, step 1) trạng thái hệ thống an toàn – Proof: induct... mandatory control (relationship of security levels) and discretionary control (the required permission) – Sometimes called “no writes down” rule Slide #5-6 Định lý an ninh bản, bước • Nếu hệ thống